Esta página se ha traducido con Cloud Translation API.

Recoger registros de AWS Network Firewall

Disponible en:

SecOps de Google SIEM

En este documento se explica cómo ingerir registros de AWS Network Firewall en Google Security Operations. AWS Network Firewall es un servicio gestionado que protege tu VPC frente al tráfico malicioso. Si envía los registros de cortafuegos de red a Google SecOps, puede mejorar la monitorización, el análisis y la detección de amenazas.

Antes de empezar

Asegúrate de que cumples los siguientes requisitos previos:

Instancia de Google SecOps
Acceso privilegiado a AWS

Cómo configurar el registro de AWS Network Firewall

Inicia sesión en la consola de administración de AWS.
Abre la consola de Amazon VPC.
En el panel de navegación, selecciona Firewalls.
Selecciona el nombre del cortafuegos que quieras editar.
Seleccione la pestaña Detalles del cortafuegos.
En la sección Registro, haz clic en Editar.
Selecciona los tipos de registro Flujo, Alerta y TLS.
En cada tipo de registro seleccionado, elige S3 como tipo de destino.

Nota: Para cambiar el destino de un tipo de registro, primero debes inhabilitar el registro de la política.
A continuación, edita la política y especifica los nuevos destinos del tipo de registro.
Haz clic en Guardar.

Configurar feeds

Hay dos puntos de entrada diferentes para configurar feeds en la plataforma Google SecOps:

Configuración de SIEM > Feeds > Añadir nuevo
Centro de contenido > Paquetes de contenido > Empezar

Cómo configurar el feed de AWS Network Firewall

Haz clic en el paquete Amazon Cloud Platform.
Busca el tipo de registro AWS Network Firewall.
Especifique los valores en los campos siguientes.
- Tipo de fuente: Amazon SQS V2
- Nombre de la cola: el nombre de la cola de SQS de la que se va a leer.
- URI de S3: el URI del segmento.
  - s3://your-log-bucket-name/
    - Sustituye your-log-bucket-name por el nombre real de tu segmento de S3.
- Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras según tus preferencias de ingesta.
  
  Nota: Si seleccionas la opción Delete transferred files o Delete transferred files and empty directories, asegúrate de que has concedido los permisos adecuados a la cuenta de servicio.
- Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es de 180 días.
- ID de clave de acceso a la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 20 caracteres.
- Clave de acceso secreta de la cola de SQS: una clave de acceso de cuenta que es una cadena alfanumérica de 40 caracteres.
Opciones avanzadas
- Nombre del feed: valor rellenado automáticamente que identifica el feed.
- Espacio de nombres del recurso: espacio de nombres asociado al feed.
- Etiquetas de ingestión: etiquetas aplicadas a todos los eventos de este feed.
Haga clic en Crear feed.

Para obtener más información sobre cómo configurar varios feeds para diferentes tipos de registros en esta familia de productos, consulta el artículo Configurar feeds por producto.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`availability_zone`	`target.resource.attribute.cloud.availability_zone`	Se asigna directamente desde el campo `availability_zone`.
`event.app_proto`	`network.application_protocol`	Se asigna directamente desde el campo `event.app_proto` y se convierte a mayúsculas si no es uno de los valores especificados (ikev2, tftp, failed, snmp, tls o ftp). HTTP2 se sustituye por HTTP.
`event.dest_ip`	`target.ip`	Se asigna directamente desde el campo `event.dest_ip`.
`event.dest_port`	`target.port`	Se ha asignado directamente desde el campo `event.dest_port` y se ha convertido en un número entero.
`event.event_type`	`additional.fields[event_type_label].key`	La clave se codifica como "event_type".
`event.event_type`	`additional.fields[event_type_label].value.string_value`	Se asigna directamente desde el campo `event.event_type`.
`event.flow_id`	`network.session_id`	Se asigna directamente desde el campo `event.flow_id` y se convierte en una cadena.
`event.netflow.age`	`additional.fields[netflow_age_label].key`	La clave se ha codificado de forma fija como "netflow_age".
`event.netflow.age`	`additional.fields[netflow_age_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.age` y se convierte en una cadena.
`event.netflow.bytes`	`network.sent_bytes`	Se ha asignado directamente desde el campo `event.netflow.bytes` y se ha convertido en un entero sin signo.
`event.netflow.end`	`additional.fields[netflow_end_label].key`	La clave se codifica de forma fija como "netflow_end".
`event.netflow.end`	`additional.fields[netflow_end_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.end`.
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].key`	La clave está codificada como "netflow_max_ttl".
`event.netflow.max_ttl`	`additional.fields[netflow_max_ttl_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.max_ttl` y se convierte en una cadena.
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].key`	La clave está codificada como "netflow_min_ttl".
`event.netflow.min_ttl`	`additional.fields[netflow_min_ttl_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.min_ttl` y se convierte en una cadena.
`event.netflow.pkts`	`network.sent_packets`	Se ha asignado directamente desde el campo `event.netflow.pkts` y se ha convertido en un número entero.
`event.netflow.start`	`additional.fields[netflow_start_label].key`	La clave se ha codificado como "netflow_start".
`event.netflow.start`	`additional.fields[netflow_start_label].value.string_value`	Se asigna directamente desde el campo `event.netflow.start`.
`event.proto`	`network.ip_protocol`	Se asigna directamente desde el campo `event.proto`. Si el valor es "IPv6-ICMP", se sustituye por "ICMP".
`event.src_ip`	`principal.ip`	Se asigna directamente desde el campo `event.src_ip`.
`event.src_port`	`principal.port`	Se ha asignado directamente desde el campo `event.src_port` y se ha convertido en un número entero.
`event.tcp.syn`	`additional.fields[syn_label].key`	La clave está codificada como "syn".
`event.tcp.syn`	`additional.fields[syn_label].value.string_value`	Se asigna directamente desde el campo `event.tcp.syn` y se convierte en una cadena.
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].key`	La clave está codificada como "tcp_flags".
`event.tcp.tcp_flags`	`additional.fields[tcp_flags_label].value.string_value`	Se asigna directamente desde el campo `event.tcp.tcp_flags`.
`event_timestamp`	`metadata.event_timestamp.seconds`	Se asigna directamente desde el campo `event_timestamp` y se analiza como una marca de tiempo.
`event_timestamp`	`timestamp.seconds`	Se asigna directamente desde el campo `event_timestamp` y se analiza como una marca de tiempo.
`firewall_name`	`metadata.product_event_type`	Se asigna directamente desde el campo `firewall_name`. Se asigna el valor "NETWORK_CONNECTION" si están presentes `event.src_ip` y `event.dest_ip`. De lo contrario, se asigna el valor "GENERIC_EVENT". Codificado como "AWS Network Firewall". Codificado como "AWS".

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.